亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

北京燃氣集團信息檔案中心總工程師王廣清王總，他分享的主題是燃氣行業(yè)信息安全體系建設(shè)，掌聲有請。

王廣清：感謝主持人，各位專家各位朋友下午好！我是北京燃氣信息檔案中心的總工，也是北大CIO18屆的學員。非常高興有這樣的機會和大家交流，我演講的題目是燃氣行業(yè)信息安全體系建設(shè)，主要是將我們企業(yè)在信息安全方面的經(jīng)驗進行了整理，與大家進行分享，希望對大家有所啟發(fā)。

不知道在座的各位有多少是在企業(yè)負責信息安全工作的，或者做著與信息安全相關(guān)工作的？因為我可能是講企業(yè)信息安全的一些事情。我們有一個微信公眾號，這里面有一些信息安全的知識，大家可以關(guān)注。我的演講的內(nèi)容包含三個方面：燃氣行業(yè)信息安全的現(xiàn)狀及存在問題。燃氣行業(yè)信息安全體系建設(shè)方法。最后介紹一下我們企業(yè)信息安全的實踐。

由于城鎮(zhèn)化和PM2.5的原因，國內(nèi)天然氣業(yè)務(wù)發(fā)展這幾年高速增長，就北京燃氣為例，2014年底我們的用戶500萬戶，年用氣量達到100億，北京也是全球第四個年用氣量超過100億的城市。所以，業(yè)務(wù)高速的發(fā)展，要求我們的信息化對業(yè)務(wù)安全能夠支撐，倒逼我們的信息化快速的發(fā)展。我們再看一下安全形勢。外部的安全形勢非常嚴峻，前面各位專家提到了各種安全事件，斯諾登和震網(wǎng)等等，這些安全事件都給我們敲響了安全的警鐘。

據(jù)歐洲信息安全統(tǒng)計，黑客們越來越針對國家的基礎(chǔ)設(shè)施進行攻擊。2012年受到攻擊最多的行業(yè)是能源行業(yè)占41%，供水15%，2013年有一個數(shù)據(jù)關(guān)于工控的安全事件顯示受到攻擊最多的還是能源行業(yè)，大概是59%，可想而知外部的安全形勢非常嚴峻，黑客們越來越針對一些國家的基礎(chǔ)設(shè)施和公用設(shè)施來進行攻擊。

我們看一下燃氣行業(yè)信息的特點。這幾年燃氣業(yè)務(wù)的快速發(fā)展，我們?nèi)細馄髽I(yè)已經(jīng)建設(shè)了相應(yīng)的信息系統(tǒng)，涵蓋了生產(chǎn)運營領(lǐng)域，比如SCADA系統(tǒng)，我們的市場營銷領(lǐng)域，比如我們用戶系統(tǒng)還有客服系統(tǒng)，還有? 經(jīng)營管理的領(lǐng)域ERP等等，這些系統(tǒng)基本都已經(jīng)建成了。燃氣行業(yè)信息化存在著一些問題，或者說有這樣一些特點。

第一，它的孤島效應(yīng)比較明顯，系統(tǒng)之間雖然建成了，但系統(tǒng)間的互聯(lián)互通比較少。第二，信息化綜合管控能力比較弱。第三，我們信息化更多的還是有賴于第三方。第四，工業(yè)體系的安全核心在轉(zhuǎn)變。這句話什么意思呢？以前更多的是關(guān)注工控的物理安全，但現(xiàn)在更多的是往信息安全方面轉(zhuǎn)變。

燃氣行業(yè)信息安全的現(xiàn)狀又是什么樣呢？作為傳統(tǒng)的能源企業(yè)，燃氣企業(yè)對信息化的認識和適應(yīng)性普遍偏低，對信息安全這塊相對陌生，缺乏主動、完整、有效的信息安全保障機制。在具體的幾個方面，組織方面，信息安全隊伍能力不足，信息安全重視程度不夠，信息安全職責不清。在制度方面，我們信息安全處理更多是事件型的，發(fā)生事件我們應(yīng)急和響應(yīng)。我們的管控體系缺乏體系化，零零碎碎的。更多的安全策略要讓位于業(yè)務(wù)為先，而不是安全為先，這是制度層面存在的問題。在技術(shù)層面，我們也建設(shè)了一些安全系統(tǒng)，但一樣有孤島效應(yīng)，沒有形成聯(lián)動。我們整個邊界控制相對比較薄弱也比較模糊，特別是工控系統(tǒng)互聯(lián)性提升以后，就存在大量的潛在被攻擊的危險，這些都是目前燃氣行業(yè)信息化和信息安全方面存在的一些問題。

所以，燃氣企業(yè)本身存在著信息安全問題，所謂內(nèi)部驅(qū)動力還有我來自于外部的威脅，以及來自于監(jiān)管的壓力，都要求燃氣企業(yè)盡快建設(shè)信息安全體系。燃氣企業(yè)的信息安全體系究竟怎么來建設(shè)呢？接下來我就將我們在建設(shè)信息安全體系過程中的一些經(jīng)驗和方法進行整理，提出了燃氣行業(yè)信息安全體系的建設(shè)方法，供燃氣企業(yè)和燃氣行業(yè)的其他企業(yè)進行參考。當然這個方法如果你作為一個企業(yè)的信息安全負責人的話，實際上也有一些借鑒意義。特別是里面一些具體的做法，大家可以有好多參考價值。

下面我來介紹我們整理的燃氣行業(yè)的信息安全體系的建設(shè)方法。

首先，我們采用的信息安全管理體系的模型和框架，叫做HTP信息安全模型。HTP是包含人員、管理，外面是技術(shù)和產(chǎn)品，最外面是流程和體系。這里面最核心的是說模型強調(diào)以人為本，人是最核心的，后面也會提到，除了我的技術(shù)防火墻之外，我還有人力防火墻，主要是和這個模型相對應(yīng)起來的。我們這個模型有一個方法論框架，它是這樣一個步驟，我們是采用自頂向下逐步求精的原則，根據(jù)組織的業(yè)務(wù)目標和安全要求，首先在組織建立信息安全的治理結(jié)構(gòu)，就是最上面這塊。然后對信息安全做出制度保證，綜合考察企業(yè)的業(yè)務(wù)環(huán)境和IT環(huán)境，進行風險評估，做出信息安全的一個計劃，建立并運行信息安全的管理體系。這個管理體系是一個粗的保證，是一個粗力度的信息安全的保障。在此之上，我們建立一個所謂的人力防火墻和一個技術(shù)防火墻，這兩個防火墻來保證信息安全。我們相應(yīng)的還有信息安全的審計，在持續(xù)不斷的改進過程中保證信息安全的安全性、完整性、可用性、有效性，建立一套完整的信息安全體系，這是方法論的框架，首先是這樣一個模型，有這樣一個框架，這是我們建設(shè)信息安全體系采用的一些理論知識。

這張是我們整理了燃氣行業(yè)信息安全體系的建設(shè)方法。上面是一些輸入，下面是一些輸出。輸入是你要考慮企業(yè)信息安全戰(zhàn)略，企業(yè)面臨的信息安全風險，我們要借鑒最佳的信息安全實踐，比如COPET（音）、我們要考慮上級部門的監(jiān)管要求，在燃氣行業(yè)你要重點考慮外包的安全和工控的安全，這些作為輸入我們產(chǎn)生了這些輸出，首先我們要制定和設(shè)計信息安全的架構(gòu)，我們要制定整個企業(yè)信息安全的藍圖，我們進行信息安全體系的建設(shè)。這個體系制定了之后，我們采取先試點再逐步推廣的方式在整個企業(yè)進行推開，這是我們整個整理的信息安全體系的建設(shè)方法。在信息安全體系里，有重要的一個部分，就是整個企業(yè)信息安全架構(gòu)的設(shè)計。信息安全架構(gòu)是對信息安全治理機制的高度的概括，從信息安全目標和方針，信息安全的策略到信息安全的管理工作的分解，再到信息安全管理工作如何開展提出了方向性和原則性的指導意見。在信息安全的架構(gòu)中，目標和方針作為信息安全的核心，構(gòu)建不同的信息安全域，不同的企業(yè)構(gòu)件的信息安全域不一樣，你要根據(jù)企業(yè)具體的情況來看信息安全域具體有哪些，每一部分又包含哪幾項。最后通過制度體系、組織體系和技術(shù)體系來保證你的信息安全域的落地。

在構(gòu)建安全域的時候，我們要參考一些最佳設(shè)計、規(guī)章制度、等級保護等國內(nèi)外的信息安全的最佳實踐，要充分考慮企業(yè)信息安全風險評估，戰(zhàn)略驅(qū)動和監(jiān)管要求等內(nèi)容，裁剪出適合企業(yè)特點的信息安全體系架構(gòu)。這里面強調(diào)了，你最后做的時候不是把這套國際標準照搬過來，一定要參考自己的最佳實踐，針對企業(yè)的戰(zhàn)略和你面臨的風險、監(jiān)管的要求，最后裁剪出適合你自己的安全域。

制定了信息安全的架構(gòu)后我們開始信息安全體系的建設(shè)，包括組織體系、制度體系和技術(shù)體系。我們這三個體系所謂的組織體系定職責，在一個企業(yè)里首先要把組織體系定出來，說明整個這件事情各個部門要負責什么。第二部分是制度體系定依據(jù)，做某一件事情你的依據(jù)是什么。第三，技術(shù)體系定保證，你采取哪些技術(shù)方法來保證企業(yè)的信息安全。這是整個信息安全體系的三個部分，組織體系、制度體系和技術(shù)體系。

前面是把燃氣行業(yè)信息安全體系的建設(shè)方法做了簡單的介紹，比較枯燥。接下來介紹一下這個方法在我們北京燃氣的實踐應(yīng)用的具體情況。

我們按照前面的介紹方法把整個項目分成了六個階段，基本和前面對應(yīng)起來，每個階段也對應(yīng)了具體的相應(yīng)工作。這六個階段從前期的啟動到現(xiàn)狀調(diào)研、風險評估，到我們信息安全架構(gòu)的設(shè)計，到安全的規(guī)劃，最后是體系的建設(shè)。體系建設(shè)的后期還有體系的評審和發(fā)布等等相關(guān)的工作。這是我們北京燃氣在建設(shè)信息安全體系時的整個的建設(shè)步驟。

這是北京燃氣的信息安全架構(gòu)，信息安全架構(gòu)是信息安全體系中比較重要的一項工作，在整體架構(gòu)中要設(shè)置好信息安全的目標和方針，為了實現(xiàn)這個目標和方針，我們構(gòu)建了五個安全域，分別是體系管控域、建設(shè)安全域、運維安全域、應(yīng)急保障域、基礎(chǔ)支撐域。最后我們通過三個體系，前面也提到了，制度體系、組織體系和技術(shù)體系，來保證五大安全域的落地。這是我們針對北京燃氣的實際情況，我們制定了信息安全的一個架構(gòu)。

我們在體系建設(shè)過程中還對企業(yè)未來三到五年，信息安全的建設(shè)思路進行了規(guī)劃，建設(shè)藍圖進行了規(guī)劃，確定了企業(yè)安全總體方針，規(guī)劃了短期和長期的一個安全的建設(shè)目標，這也是在安全體系規(guī)劃里要做的事情。

下面我們再來看一下安全體系里面的三個體系，制度體系、組織體系和技術(shù)體系具體的內(nèi)容。

這張是組織保障體系的內(nèi)容。實際上也是信息安全體系的一個核心，是信息安全戰(zhàn)略落地的保障，沒有人是做不了的。在我們的組織保障體系里，我們包含相應(yīng)的領(lǐng)導層，管理層和執(zhí)行層，還有第三方的監(jiān)督和審計。在一個企業(yè)里面，信息安全的工作不能僅僅落在信息中心這一個部門身上，所以，你一定要把相關(guān)的部門和領(lǐng)導放在這個體系里面去，把大家一起拉過來干這個事情，所以這是很重要的。而且我們設(shè)立了日常的一個管理機構(gòu)，定期的開會，讓組織體系里面各個部門各司其則，組織體系真正的運作起來，這是在信息安全體系制定的時候一個重要的工作，一定不是說信息中心一個部門在唱獨角戲，或信息安全中心下的一個部門在唱獨角戲，一定是企業(yè)相關(guān)部門都放進來，一起做這個事情，這個事情才能做成。

我們再來看一下在我們信息安全體系里的一個制度保障體系。制度保障體系主要包含我們的一些安全策略方針，信息安全管理域的具體管理要求，為我們企業(yè)提供信息安全的控制依據(jù)。自主體系包括四級文件，最開始的安全管理規(guī)定、管理辦法、管理標準和規(guī)范，以及最后的表單和操作手冊。每個企業(yè)我想這是很重要的一項工作，一個企業(yè)的信息安全肯定要有相關(guān)的制度，這個制度也不是一個制度，它一定是分級分層的制度，有頂層制度還有下面具體管理的辦法，還有管理的標準和規(guī)范，具體到標準的表單，這是分層分級的工作。隨著企業(yè)信息安全的深入，制度體系還在不斷的完善，涉及到企業(yè)信息安全的方方面面。

這是我們制度體系里的一個頂層制度，就是信息安全的管理規(guī)定。這個管理規(guī)定應(yīng)該是在整個企業(yè)里屬于信息安全的最重要的制度，它是頂層的制度，再下面的管理辦法是一層層往下分的。在管理規(guī)定里我們包含了方針、原則和組織治理，我們的風險管理和具體到我們信息化基礎(chǔ)設(shè)施的管理，我們信息系統(tǒng)的管理，供應(yīng)商和人員的管理，這是一個早期版本，后來我們還增加了安全事件處理和應(yīng)急管理，最后就是監(jiān)督檢查和改進。

這是我們企業(yè)信息安全管理規(guī)定中的內(nèi)容。我們簡單說一下方針和原則這方面。這實際上是比較重要的，在燃氣企業(yè)信息安全工作以風險評估為依據(jù)，抓住信息安全工作要點，將信息安全工作落實到信息安全全生命周期中，與信息安全系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行，三個同步，信息安全不是說后期我來做一些事情，一定是和你信息安全系統(tǒng)同步規(guī)劃，同步建設(shè)和同步運行，實現(xiàn)信息安全的全面的防御，這就是第一點，我們的重點突出和全面防御相結(jié)合的原則。

我們還有其他兩個原則，比如風險管理和持續(xù)改進，信息安全的事情也不是說你建了一些防火墻，買了一些安全設(shè)備，放在那里就萬事大吉，高枕無憂了，一定是持續(xù)改進的。而且隨著工具技術(shù)不斷的提高，所以你的企業(yè)面臨的風險如果不改進遇到的問題就會越來越多。

第三，我們的技術(shù)體系和管理體系相結(jié)合。不僅僅是技術(shù)和產(chǎn)品，我們在安全的模型里面，強調(diào)管理，強調(diào)人，強調(diào)以人為本，所以，在我們的信息安全管理規(guī)定中，一開始我們就把這些原則制定出來，這些原則確定了你整個企業(yè)信息安全，怎么往下走，你的安全戰(zhàn)略和安全的方針究竟是什么樣的，所以這是很重要的。

我們再介紹一下信息安全體系里面的技術(shù)保障體系。我們建立了所謂的五縱五橫的技術(shù)保障體系，實現(xiàn)了從物理環(huán)境到終端數(shù)據(jù)的安全控制，建立了一個事前防御，事中監(jiān)控和事后恢復的相關(guān)機制。而且我們采用不同防護技術(shù)，如身份論證，訪問控制、內(nèi)容安全、監(jiān)控審計和備份恢復等不同的防護技術(shù)，形成一個信息安全的合力，形成信息資產(chǎn)的安全保護，對企業(yè)各類信息資產(chǎn)的形成有效的差異化的精細化的防護，這是我們制定的信息安全保障體系。

信息安全技術(shù)這塊要講的東西特別多，由于時間的關(guān)系，我就不一一展開了，但是我就講一點，隨著這個技術(shù)的發(fā)展，我們現(xiàn)在也在搭建大數(shù)據(jù)平臺，對整個企業(yè)的安全日志進行分析。我們搭建這樣一個Hadoop平臺，收集企業(yè)所有的日志，來自我的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、來自于我互聯(lián)網(wǎng)入口、企業(yè)流量鏡像，來自于各種日志，我們對這些日志采集過來進行收集，進行相關(guān)訪問行為的統(tǒng)計和相關(guān)的告警，我想這個是未來很多企業(yè)應(yīng)該做的，特別是一些大中型企業(yè)推薦大家應(yīng)該做的一件事情。

前面把信息安全體系的制度體系、組織體系和技術(shù)體系作了介紹，下面就是講一下與HTP模型相對應(yīng)，我們要建立以人為本的信息安全的培訓體系。所以我們在安全體系建設(shè)過程中，特別重視各個層面員工所需要的信息安全知識、技能和意識的培養(yǎng)。這里面包括我們搭建階梯化的信息安全培訓體系，對全員進行信息安全意識宣灌，對員工進行持續(xù)的信息安全的宣灌。這一點非常重要，在一個企業(yè)里面你要建立信息安全培訓體系，要持續(xù)對員工進行信息安全的宣灌，這是非常重要的。

我再講一下我們通過信息安全周來強化信息安全意識的宣傳。我們在每年6月份要舉行信息安全周，截至目前已經(jīng)舉行了三屆，在信息安全周我們采取多種安全形式。信息安全周五天，每天有不同的宣傳的主題，這是五個特色的宣傳日，經(jīng)過這三年的宣傳來看，我們?nèi)〉昧撕芎玫男麄餍ЧＮ医裉靵韰埃覄偛趴吹浇裉烊舜笸ㄟ^了國家安全法，確定每年的4月15號是國家的安全日，我國到今年為止也舉行了兩屆信息安全周，我們比國家早了一屆，我們舉行了三屆。所以，信息安全周，根據(jù)我們的體會這實際上是企業(yè)很好的手段，通過信息安全周可以強化全體員工的信息安全意識，加強對全體員工信息安全意識的宣傳，所以信息安全周對企業(yè)的宣傳非常有意義，在座企業(yè)的信息安全的負責人可以參考。

我們的信息安全周的宣傳形式多種多樣，我們包含微信、視頻、OA、海報、手冊、貼圖、易拉寶等十多種宣傳形式。而且我們在信息安全周之后，我們對我們的宣傳效果會進行評估，我們目前的評估結(jié)果來看，到目前為止，我們基本上宣傳達到了全集團50%的覆蓋，未來的目標希望全員能夠覆蓋，而且這項工作是一個持續(xù)性的工作。

我們也利用微信加強信息安全意識的宣傳，這是我前面提到的，我們微信的公眾號。在看天下下面有一個安全常識欄目，大家如果點擊進去會有一個信息安全意識的宣傳手冊。我們以前把這個宣傳手冊做成紙質(zhì)版的，今年我們做成電子版的，用H5的技術(shù)每個員工都可以下載保存在手機上隨時看，很好的資料，里面的內(nèi)容也比較多，除了那里邊的Logo是我們的，那些內(nèi)容你們都可以參考。

因為安全周舉行了已經(jīng)三屆，我有一點體會，安全周的效果和重點在于策劃。實際上我們的安全周6月底舉行，這次是6月23號到29號剛剛舉行，我們的整個策劃就花了兩個月的時間，所以，這里面所有的剛才各種各樣的宣傳形式，每一塊的內(nèi)容你都要去策劃和確定。因為你的企業(yè)里面安全周的話，你要確定宣傳的對象是誰。最開始我們有安全知識競賽，我們認為我們的用戶和對象就是那些競賽的選手，但后來我們發(fā)現(xiàn)，去年舉行的時候并不好，臺上在競賽，臺下的員工在玩其他的，覺得臺上的題目太高大上了，與他們的工作差很遠。今年我們就改變了，我們競賽的不僅僅是臺上的那部分用戶，更多的是我們臺下的幾百位領(lǐng)導，全集團相關(guān)的員工，我們把整個題目的難度降低了，競賽的形式活潑多樣了，讓全體臺下的員工都能進行參與，都有陽關(guān)的獎品，所以，我們的員工還有微信互動，我們的員工就說有獎品的活動才是好活動。整個活動大家參與度都非常好。所以，這一點也是我們的經(jīng)驗，我們的用戶是誰？不僅僅是臺上的選手，而是我們?nèi)w來參加會議的領(lǐng)導和相關(guān)的員工，而且信息安全周的效果重點在于策劃。

最后我講一下，因為我在集團負責信息安全工作，責任比較重大，我個人感覺也是如臨深淵，如履薄冰，在座如果有負責信息安全的我們可能有共鳴。如何把企業(yè)信息安全工作做好，我們現(xiàn)在把整個企業(yè)信息安全的所有的工作細化到日常工作中，像全年的信息安全的相關(guān)工作進行梳理，落實到每個季度，每個月每一天，重視信息安全體系的PDCA的循環(huán)和信息安全的日常運維，這是我現(xiàn)在的一些感觸。信息安全絕對不是說建一個體系或者買一些安全設(shè)備，一定是一個PDCA的循環(huán)，一定是在每一天每一個月每一個季度，日常的信息安全運維工作中。我們把全年的信息安全工作進行了仔細的梳理和分解，分解到每個月每一天。我們有整個信息安全管理體系的PDCA的循環(huán)，我們有全年安全系統(tǒng)的建設(shè)，我們還有日常的信息安全的運維和事件的應(yīng)急等等，在運維方面我們也有第三方的運營廠商駐廠運維，包括我們所有日常事件的處理和所有上線系統(tǒng)日常的檢測，包括我們所有的信息系統(tǒng)定期的安全評估，幫助我們建立相關(guān)的信息安全制度，這些我們都可以讓我們的安全運維廠商幫我們一起做。

我們做的過程中發(fā)現(xiàn)應(yīng)用安全這塊是比較難以管理的，我們上線了一些系統(tǒng)發(fā)現(xiàn)安全開發(fā)廠商這方面的技術(shù)比較薄弱，開發(fā)了很多互聯(lián)網(wǎng)的應(yīng)用，很多都存在CQL注入、跨境和跨站的一些漏洞。現(xiàn)在我們從源頭開始做起我們在招標文件中提出對信息系統(tǒng)安全建設(shè)的需求，我們和開發(fā)廠商制定了安全上線的規(guī)范，我們在上線前定律了安全檢測，我們定期對安全系統(tǒng)進行評估，只有這樣一系列的政策才能確保信息系統(tǒng)的安全，這里面還有很多，比如帳號的安全和數(shù)據(jù)的安全對企業(yè)都是很大的問題。

通過信息安全的體系的建設(shè)，我們在四個方面都有相關(guān)的受益，時間關(guān)系我不一一說了，包括對信息安全的現(xiàn)狀和風險我們進行了詳細的了解，對一些風險進行了整改，我們對安全架構(gòu)進行了分析，對安全進行了對話，我們建立了整個企業(yè)信息安全的管理體系，我們對我們的人員進行意志和技能的培養(yǎng)，通過這些佛教我們整體提升信息安全管控能力，這是我們整體信息安全的收益。

講了這么多，我希望大家記住三張圖，第一張圖是外部的安全形勢非常嚴峻，信息安全要做到的事情千頭萬緒。對于大中心企業(yè)來說，我建議你們先從信息安全體系入手，有相關(guān)的組織體系、技術(shù)體系和制度體系，組織體系定職責，制度體系定做事的依據(jù)，技術(shù)體系做相關(guān)的保證。第二張圖是說我們建議通過信息安全周的形勢來強化信息安全意識的宣傳，信息安全周的目的是進行人防和機防結(jié)合，針對員工薄弱的這塊，我們通過信息安全周提升企業(yè)整體信息安全意識，信息安全周有很多的活動，想要取得好的效果就要進行詳細的策劃。信息安全要有一顆敬畏之心，要建立信息安全日常的工作機制，將信息安全落實到每一日的工作中。

我的演講就到這里，謝謝各位。